Rischi per la sicurezza di disabilitare SSID Broadcast

Naviga le tue risposte
14

Ricordo di aver letto diversi articoli online e persino di aver passato il consiglio, affermando che disabilitare la trasmissione SSID non solo è inutile come misura di sicurezza ma è anche dannoso per la sicurezza dei dispositivi client. La logica va così:

Trasmissione SSID attiva

  • I dispositivi client ascoltano passivamente le reti conosciute.
  • I client avviano la connessione quando viene ascoltata una rete conosciuta.
  • Gli hacker non sanno quali reti i dispositivi client non associati stanno cercando.

Trasmissione SSID disattivata

  • I dispositivi client devono sondare attivamente le reti conosciute.
  • I dispositivi client pubblicizzano SSID fidati.
  • Gli utenti malintenzionati possono acquisire informazioni SSID attendibili e utilizzarle per ingannare i client nella connessione a un AP Rogue quando non sono vicini alla rete attendibile effettiva.

Questa sembra una supposizione generalmente ragionevole. Tuttavia, non penso di aver visto alcuna affermazione che tenga conto di ciò che accade quando un utente malintenzionato tenta di impersonare una rete senza conoscere altri attributi della configurazione di sicurezza della rete, in particolare il protocollo o le chiavi di crittografia. La connessione dovrebbe, in teoria, fallire con la mancata corrispondenza del protocollo o la negoziazione della chiave errata.

Considerato quanto sopra, mi sembra che disabilitare la trasmissione SSID (pur non essendo ancora un meccanismo di sicurezza affidabile) abbia ancora un impatto positivo sulla sicurezza, o al netto neutro, nel peggiore dei casi. C'è qualcosa che mi manca?

    
posta Iszi 09.12.2014 - 21:56
fonte

3 risposte

11

Dai un'occhiata al WiFi Pineapple , che è un dispositivo di impersonificazione wireless MITM disponibile per $ 100 più spese di spedizione. L'autore dell'attacco deve solo accenderlo e configurarlo, e inizierà a offrire attacchi MITM istantanei. Se un dispositivo mobile cerca un SSID aperto già conosciuto, sarà felice di fornirgli una connessione Internet funzionante. Non richiede quasi nessuna abilità per operare.

La chiave è che un client che si fida anche di una singola connessione a qualsiasi punto di accesso WiFi aperto da qualche parte si è messo in una posizione vulnerabile, e questo è vero indipendentemente dal fatto che stiate trasmettendo o meno il vostro SSID. L'approccio sicuro consiste nel richiedere credenziali sui tuoi punti di accesso ed evitare di far parte del problema per i tuoi clienti. Se trasmettere o meno il tuo SSID diventa quindi una questione di praticità per gli utenti e non è una questione di sicurezza.

    
risposta data 10.12.2014 - 00:22
fonte
5

SSID Broadcasting On

  • Client devices passively listen for known networks.
  • Clients initiate connection when a known network is heard.
  • Attackers do not know what networks un-associated client devices are looking for.

La trasmissione di Turing su non impedirà ai client tutti di eseguire attivamente la scansione di reti conosciute. Questo è specifico per l'implementazione, ad esempio, in Windows XP viene automaticamente eseguita la scansione attiva. Pertanto la tua ipotesi che gli aggressori non sappiano necessariamente quali reti vengono cercate non è corretta. Si applica solo se ci si connette a dispositivi moderni che eseguono la scansione passiva delle reti per gli SSID visibili al momento della loro configurazione.

SSID Broadcasting Off

  • Client devices must actively probe for known networks.
  • Client devices are advertising trusted SSIDs.
  • Attackers can capture trusted SSID info and use it to trick clients into connecting to a Rogue AP when they are not near the actual trusted network.

Questo è vero finché la rete è aperta. Un client non sarà in grado di connettersi a una rete protetta con una password diversa o nessuna.

This seems a generally sensible supposition. However, I don't think I've seen any claims that take into account what happens when an attacker tries to impersonate a network without knowing other attributes of the network's security configuration - particularly, the encryption protocol or keys. The connection should, in theory, fail with protocol mismatch or bad key negotiation.

Il frame beacon , anche quando non si trasmette il SSID (cioè SSID viene inviato in questo frame come NULL ) fornisce ancora dettagli sulla configurazione della sicurezza di rete, inclusi i dettagli sulla crittografia.

Given the above, it would seem to me that disabling SSID broadcast (while still not at all a reliable security mechanism) still has a net-positive impact on security - or net-neutral, at worst. Is there something I'm missing?

Anche se non si sta trasmettendo, l'invio di una richiesta di sonda con NULL come SSID può far rispondere l'AP con un beacon contenente l'SSID. Qualsiasi strada, non appena un dispositivo valido deve collegare l'SSID finirà per essere trasmesso dall'AP. Direi che l'unica sicurezza extra offerta è sicurezza attraverso l'oscurità - potrebbe farti sentire meglio ma in realtà non rende il tuo rete più sicura. L'unico vantaggio trascurabile è che il tuo SSID non verrà trasmesso come spesso . Sul rovescio della medaglia, un utente malintenzionato può presumere che si tratti di una rete particolarmente sensibile e dedicare più tempo al targeting.

    
risposta data 12.12.2014 - 15:13
fonte
1

I dispositivi client analizzeranno attivamente le reti note indipendentemente dal fatto che la trasmissione SSID per quella particolare rete sia attivata o meno. Mentre una scansione passiva è teoricamente possibile, è molto raramente implementata. Questo perché il cliente ha bisogno di scorrere tutti i canali, passando il tempo su ciascun canale per ascoltare i beacon. Ciò aumenterebbe la quantità di tempo necessaria per connettersi all'AP.

Ho usato airmon-ng per monitorare le richieste di probe e finora tutte le mie schede wireless eseguono attivamente ricerche per reti note. Pertanto, disattivare la trasmissione SSID non dovrebbe aumentare il rischio.

Ulteriori dettagli: link

    
risposta data 10.12.2014 - 07:11
fonte

Leggi altre domande sui tag

Proteggi dagli attacchi POST // cgi-bin / php? Un indirizzo MAC prevedibile è un rischio?